Jeszcze niezbyt dawno temu, nie poświęcano zbytniej uwagi istniejącym w środowisku narzędziom do zarządzania systemami (planując i przeprowadzając ataki na takie środowiska). Niestety ta sytuacja odchodzi w przeszłość i należy się liczyć z rosnącym zainteresowaniem funkcjonowania oprogramowania klasy Systems Management.
Przykładem może tu służyć pojawienie się narzędzia SharpSCCM. To nie jest narzędzie do włamywania się do systemów, co jasno przedstawiają omówienia[1],[2].
Narzędzie jest kolekcją rozmaitych funkcjonalności, które mogą przyczynić się do zdobycia większego zakresu panowania nad zdobytymi już maszynami, przy użyciu mechanizmów działających legalnie w środowisku atakowanym, co zmniejsza prawdopodobieństwo wykrycia nieprzyjaznych działań.
Interesującym aspektem działania SharpSCCM jest pozyskiwanie informacji o organizacji CM Site z maszyny klienckiej, przez lokalne zapytania WMI. Znając już SMSSITECODE oraz nazwę wybranego dla maszyny klienta serwera Management Point następuje próba podłączenia do CM Site. Gdy różne role skupione są na jednym serwerze, takie podejście może być skuteczne.
Jednak w przypadku organizacji wieloserwerowej, już tak nie jest:
Adresatem połączenia powinien być tu SMS WMI Provider, a nie po prostu Management Point. Funkcjonalność narzędzia będzie w tym przypadku wyraźnie ograniczona.
Analizując kod źródłowy SharpSCCM można zauważyć próbę dostępu do przestrzeni WMI root\SMS\Site_{SMSSITECODE}, co jest tu mylnie wiązane z funkcją Management Point:
Można spodziewać się, że przyszłe wersje narzędzia prawidłowo będą identyfikować docelowy serwer do połączeń WMI.
Jeżeli pozostawić Management Point na serwerze pełniącym role SMS WMI Provider (zazwyczaj jest to Primary Site Server), to w przypadku dostatecznych uprawnień, narzędzie może tworzyć i niszczyć np. kolekcje. Takie działania są już odnotowane w podsystemie komunikatów statusowych CM jako typ Audit. W tym przypadku (zdarzenie 30015) przy użyciu polecenia Powershell utworzona została kolekcja TSTS001, zaś później zniszczona (zdarzenie 30017) przez SharpSCCM (jednak nie dowiemy się tego – mamy tu nieznaną aplikację).
Chociaż nowe narzędzie nie włamuje się do Configuration Manager-a i bazuje na znanych właściwościach WMI, to jednak nie należy lekceważyć zagrożeń. Rozsądnym jest izolowanie od maszyn klienckich serwerów Primary Site Server oraz SQL Server (maszyny klienckie nie potrzebują bezpośredniego dostępu do tych serwerów).
__________________________________________________________________________
[1] https://www.securesystems.de/blog/active-directory-spotlight-attacking-the-microsoft-configuration-manager/
[2] https://github.com/Mayyhem/SharpSCCM/wiki